:quality(80)/p7i.vogel.de/wcms/fa/fc/fafc7b1ef047632c3455f46bd10cd256/0110551755.jpeg "Digitalisierung an Schulen kann mit digitaler Inventarverwaltung unterstützt werden (Bild: Rawpixel.com / shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a6/46/a646f2662e79393429dc9c4eb272433d/0110475497.jpeg "Eine zeitgemäße digitale Bildungsinfrastruktur – mit dem Digitalpakt Schule unterstützt der Bund Länder und Gemeinden bei Realisierung (Bild: adragan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/b6/4fb68aebb416b3462f5c64b2ef5723c9/0110467219.jpeg "Bundespresseamt vs. Datenschutzbehörde oder auch Facebook vs. Mastodon – die Frage nach dem Gewinner soll nun das Verwaltungsgericht Köln beantworten (© Alltechbuzz_net – pixabay via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/1f/c9/1fc97acc1dec34c82c62d1d69da6b596/0110476065.jpeg "Der Ezhikrat fordert, die die Rolle der KI in der öffentlichen Kommunikation und Meinungsbildung kritisch zu hinterfragen (© M.Dörr & M.Frommherz – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/f0/12f0ca00b0a4434cb5e39828021c2a91/0110547942.jpeg "Der Dialog mit den Mitarbeitern der Verwaltungen kann sicherstellen, dass die angebotenen Dienstleistungen und Programme tatsächlich auch ihren Bedürfnissen entsprechen (Bild: fidaolga – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/cd/77cd250ce7af2f3282a8769b909e99b2/0110433407.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/5a/c75a353e25b87e8e2a06135f515f1a11/0110379166.jpeg "Die Kommunen erhalten mehr Unterstützung von der Landesregierung (© Jirsak, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/9c/bf9c757c3c870f08846d36186f821ad6/0110465225.jpeg "Atrium ist ein gemeinsames Projekt des GovTech Campus Deutschland mit dem World Economic Forum (©2ragon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/0a/030a5d6d68a07f27d002a852bf1928c0/0110375178.jpeg "Die didacta 2023 fand vom 7.-11. März in Stuttgart statt (©Landesmesse Stuttgart GmbH)")
:quality(80)/p7i.vogel.de/wcms/80/6b/806ba8bc1383da483b0bfcd09e9d2388/0110077364.jpeg "Die Gewinner der Plätze eins bis drei erwartet ein stolzes Preisgeld (© Inna Dodor Getty Images via Canva)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/8f/18/8f18a71e1931275c50375f34bd62e9ea/0110005602.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/6b/18/6b18f350ffe57f39c8f22261e1512180/0109462389.jpeg "(©Kodak Alaris)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/af/0faf6811142391ce336005dc0c8af6b7/0110111565.jpeg "Cross-Site-Scripting: Kriminelle nutzen Sicherheitslücken (© aga7ta – stock.adobe.com)")
Problem erkannt, doch an der Umsetzung hapert‘s Fraunhofer-Studie bemängelt Sicherheit bei Cloud-Speicherdiensten
Die ständig wachsende Menge wertvoller digitaler Daten zu Hause, in Organisationen und in der Wirtschaft müssen geschützt werden; ein unwiderruflicher Verlust ist schließlich nicht hinnehmbar. Cloud Storage Services versprechen die Lösung dieses Problems. Vertrauen ist gut ...
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/56/6156c5a4f1c43/1280px-kodak-alaris-logo-svg.png "1280px-kodak-alaris-logo-svg (Kodak alaris)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135000/135096/65.jpg "logo_nospamproxy300x300.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/64/60642f3bc4aeb/mgm-logo-2016-rgb.png "mgm Logo 2016 RGB.png (mgm)"){kind=logo}
In den letzten Jahren hat ihre Popularität stark zugenommen. Sie versprechen, Daten benutzerfreundlich, leicht zugänglich und kostensparend zu speichern, den automatischen Rückgriff auf beliebige Daten sowie den Datenaustausch zwischen Anwendern oder auch die Synchronisation mehrerer Geräte. Allerdings zögern Einzelpersonen, aber insbesondere auch Unternehmen, ihre Daten Cloud-Storage-Diensten anzuvertrauen – aus Angst vor Kontrollverlust. Jüngste erfolgreiche Angriffe auf Cloud-Storage-Anbieter haben diese Bedenken noch verstärkt.
Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt hat die Sicherheitsmechanismen der sieben Cloud-Storage-Dienste
- CloudMe,
- CrashPlan,
- Dropbox,
- Mozy,
- TeamDrive,
- Ubuntu One und
- Wuala
überprüft. Die Ergebnisse der Untersuchung sind in der Fraunhofer-SIT-Studie „On The Security of Cloud Storage Services“ (SIT Technical Reports SIT-TR-2012-001) zusammengefasst.
Zwischen Sommer 2011 und Januar 2012 wurden die Services, die sowohl Client Software, als auch Server Side Software umfassen, untersucht. Allerdings führte das Fraunhofer SIT keinen Penetrationstest auf Server-Seite durch. Zweck der Studie war, Nutzern der untersuchten Dienstleistungen wie auch anderer Services zu helfen, diese auf die definierten Sicherheitsanforderungen hin zu überprüfen.
Auswahl und Methode
Die Studie hat allerdings nicht den Anspruch, einen vollständigen Überblick über alle bestehenden Cloud Storage Services zu geben – auch nicht zu technischen Merkmalen, Nutzen und Preisen. Die Dienste Dropbox und Mozy wurden aufgrund ihrer großen Beliebtheit ausgewählt. Sie repräsentieren das Gros der Cloud Storage Provider, mit einfacher und bequemer Handhabung, die kostenlos oder preiswert am Markt agieren. Diese Services sind als Stand-alone-Online-Speicherdienste konzipiert und bieten begrenzte Integration in gängige Betriebssysteme.
Auf der anderen Seite entwickeln immer mehr IT-Hersteller eigene Cloud-Storage-Dienste, wie zum Beispiel
- Microsofts SkyDrive,
- Canonical Ubuntu One oder
- icloud von Apple.
Sie sind fest in den jeweiligen Betriebssystemen integriert und bieten zahlreiche Online-Dienste an. Man kann davon ausgehen, dass sich diese Leistungen in Zukunft aber von ihren Betriebssystemen emanzipieren werden und ähnlich wie Stand-alone-Dienste am Markt auftreten werden. In die Analyse wurde Ubuntu One einbezogen, das als zusätzlicher Service für das Linux-basierende Betriebssystem Ubuntu gestartet ist, inzwischen aber auch die Windows-Integration möglich macht.
Diese Dienstleister sind alle US-amerikanisch oder speichern die Daten in den USA. Daher wurden als Gegengewicht drei weitere Services ausgewählt:
- CloudMe aus Schweden und
- TeamDrive aus Deutschland betreiben und speichern ihre Daten ausschließlich innerhalb der EU.
- Wuala arbeitet und speichert alle Daten in Deutschland, Frankreich und der Schweiz.
In einem ersten Schritt, wurden vier typische Merkmale der Cloud Storage Services identifiziert: Zum ersten die Kopierfunktion. Dieser Dienst spiegelt einen Teil der lokalen Festplatte in der Cloud. Geht lokale Hardware verloren, beispielsweise durch den Diebstahl eines Notebooks, können die Daten aus der Wolke wiederhergestellt werden. Zum zweiten die Backup-Funktion, die sicherstellt, dass jede Version in der Cloud erhalten wird.
Die Synchronisierung erlaubt es drittens, dass Benutzer ihre sämtlichen Geräte (Desktop, Laptop, Tablet, Handy) synchronisieren können. Und viertens die Sharing-Funktion, die meist für die Zusammenarbeit mit Projektpartnern genutzt wird. Darüber hinaus optimieren Features wie Deduplizierung – hier werden Dateien, die vom Server bereits bekannt sind, nicht wieder übertragen – die Cloud Storage Services.
Im zweiten Schritt wurden fünf unerlässliche Sicherheitsanforderungen definiert. So wurde untersucht, in welcher Art und Weise der Registrierungsprozess und das Login eine Identitätsverschleierung sowie Information Gathering, das heißt, das Abgreifen von Benutzerdaten zur Erstellung eines Benutzerprofils zu Werbe- oder Marketingzwecken oder sogar kriminellen Zwecken, verhindern oder die Nutzung starker Passwörter fordern.
Weiter prüfte das Fraunhofer SIT die Übertragungssicherheit, ob und wie die Kommunikation zwischen Client und Server abgesichert wurde. Besonders wichtig ist auch das Thema Verschlüsselung, um Provider daran zu hindern, die gespeicherten Daten zu lesen, und der sichere Austausch von Dateien, nämlich wie Dokumente geschützt sind, die durch eine geschlossene Gruppe hochgeladen wurden oder auch durch Nicht-Abonnenten genutzt werden können. Schließlich die sichere Deduplizierung, um Probleme zu vermeiden und die Privatsphäre zu wahren.
Einschätzung statt Schulnoten
Das Bewertungsschema der einzelnen Kategorien folgt einer Einteilung in verschiedene Bewertungsklassen:
- „++“ steht für eine sehr gute Bewertung, das heißt, alle Pflichtanforderungen sowie mindestens eine der obligatorischen Anforderungen wurden erfüllt.
- Mit „+“ für „gut“ wurde bewertet, wer alle obligatorischen Anforderungen erfüllen konnte.
- Ein „+/-“ bedeutet: Der Dienst zeigt gewissen Schwächen, erfüllt aber die meisten, wenn auch nicht alle zwingenden Voraussetzungen.
- Ein Minus „-“ bedeutet, dass bestimmte Anforderungen nicht erfüllt waren.
- Und die schlechteste Bewertung „--“ wurde vergeben, wenn mindestens eine zwingende Voraussetzung fehlte.
Darüber hinaus flossen auch Themen wie Verfügbarkeit sowie die Übertragungszeit der Daten mit in die Bewertung ein.
Die Analyse des Fraunhofer SIT kam zu einem eher unbefriedigenden Ergebnis. Studienleiter Michael Herfert, Abteilungsleiter Cloud Computing and Identity & Privacy, erkennt dringenden Verbesserungsbedarf bei allen untersuchten Cloud Storage Providern: „Unsere Untersuchung brachte zum Teil eklatante Sicherheitslücken zutage. Wir empfehlen Nutzern daher, anhand unseres Bewertungsschemas zu entscheiden, welche Sicherheitsmängel für sie akzeptabel sind und welche nicht. Die Verantwortung liegt zurzeit also bei den Nutzern allein, die die Sicherheitsmaßnahmen der Anbieter in jedem Einzelfall explizit prüfen und hinterfragen müssen.“
Oftmals falle es Anwendern auch schwer, die Sicherheitsaussagen der Anbieter zu verstehen, kritisiert Herfert: „Eine ‚military grade encryption‘, wie es gern formuliert wird, suggeriert vielen Nutzern: Was auch das Militär nutzt, kann nur gut und sicher sein! Dabei bezieht sich der Begriff ‚encryption‘ oftmals nur auf die Sicherheit durch eine SSL-Verschlüsselung während der Datenübertragung. Am Ende liegen die Daten aber auf der Anbieterseite wieder im Klartext vor.“
Mangelnde Datensicherheit
Das Registrierungsprozedere bei CloudMe, Dropbox und Wuala sieht nicht vor, die eMail-Adresse eines neuen Kunden zu überprüfen. So ist es möglich, dass eine Person A sich mit der eMail-Adresse einer Person B bei diesen Diensten anmelden kann und diese für seine Zwecke missbrauchen kann. So könnten beispielsweise die Daten anderer Nutzer – Freunde der Person B – ausgespäht werden. Der Eindringling A könnte aber auch die Rechner anderer Nutzer mit Malware infizieren. Beide Angriffsszenarien setzen zwar eine gewissen Unaufmerksamkeit auf Opferseite voraus, das Sicherheitsloch sollte dennoch geschlossen werden, rät das Fraunhofer SIT.
Für CrashPlan, TeamDrive und Wuala stellten die Fraunhofer-Beobachter Sicherheitslücken während der Datenübertragung fest. Alle drei Dienste verzichten auf SSL/TLS-Verschlüsselung. Stattdessen nutzen sie selbstgemachte und unveröffentlichte Protokolle – eine äußerst fehleranfällige Vorgehensweise. CloudMe verzichtet sogar komplett auf Maßnahmen zum Schutz der Daten während der Übertragung.
Besonders fahrlässig, so das Fraunhofer SIT, agieren verschiedene Dienste bei der Verschlüsselung. CloudMe, Dropbox und Ubuntu One bieten gar keine Client-seitige Verschlüsselung an und sind damit als Provider in der Lage, die Daten ihrer Nutzer zu lesen. Mozy verzichtet auf eine Verschlüsselung der Dateinamen. Und das konvergente Verschlüsselungsschema, das Wuala verwendet, ermöglicht Angriffe von Server-Seite aus.
Probleme traten auch beim Austausch von Daten bei CloudMe, Dropbox, TeamDrive und Wuala auf. Und zwar immer dann, sobald Nicht-Abonnenten Dateien mit langen, unvorhersehbaren URLs übertrugen. CloudMe verschlüsselte nach Ansicht des Fraunhofer SIT diese URLs nicht angemessen. Dropbox – so die Kritik – beschreibt die Sharing-Details sehr ungenau.
TeamDrive hatte Schwierigkeiten, Gruppenmitglieder auszuschließen, und Wuala machte Information Gathering möglich, indem der Benutzername in der öffentlichen URL genannt wurde. CloudMe gewährte zudem Suchmaschinen ungehinderten Zugang zum Arbeitsbereich. Mozy und Wuala zeigten Sicherheitslücken bei der Deduplizierung. So war es in einigen Fällen möglich, bei den Cloud-Storage-Anbieter nachzufragen, ob eine Datei bereits gespeichert wurde oder nicht.
Bevor Daten in die Wolke transferiert werden, sollten Nutzer diese lokal verschlüsseln, um die Vertraulichkeit zu gewährleisten, rät das Fraunhofer SIT. Dies ist unter Verwendung zahlreicher angebotener Verschlüsselungstools, einschließlich TrueCrypt, EncFS und GnuPrivacyGuard, möglich. Unter Umständen stören diese Tools allerdings bestimmte Funktionen der Cloud Storage Services. Benutzer sollten daher ruhig auf vom Storage Provider angebotene Client Software vertrauen.
Um eine kompatible Nutzung von Cloud Storage Services zu gewährleisten, halten die Fraunhofer-Forscher eine Anpassung der gesetzlichen Rahmenbedingungen für notwendig. Eine ausführliche Betrachtung deutscher und europäischer Gesetze und gesetzlichen Bestimmungen wie Bundesdatenschutzgesetz oder Data Protection Directive der Europäischen Union machte deutlich: In erster Linie sind die Nutzer der Cloud-Angebote selbst verantwortlich für ihre Daten und deren Verarbeitung. Hier helfen auch standardisierte Zertifikate wie SAS 70 und ISO 27001 nur bedingt weiter. Vor allem Unternehmen sollten bedenken, dass die gesetzlichen Bestimmungen, nach denen sie sich richten müssen, völlig konträr zu den Bestimmungen für Cloud-Anbieter oder deren Subunternehmer sein können.
Da internationale Vorschriften, die ein gewisses Maß an Datensicherheit und Privatsphäre garantieren, zur Zeit noch fehlen, sollten europäische Unternehmen einen Cloud-Anbieter aus dem Europäischen Wirtschaftsraum (EWR) wählen. Vorsicht geboten ist aber bei Tochtergesellschaften von US-Unternehmen, die dem Patriot Act unterliegen und daher Zugriff auf alle bei ihnen hinterlegten Daten gewähren müssen, auch wenn diese ausschließlich innerhalb des EWR gespeichert sind.
Schlussfolgerung
Angesichts der Studienergebnisse rät das Fraunhofer-Institut für Sichere Informationstechnologie Privatpersonen und Organisationen, die Cloud-Storage-Dienste nutzen wollen, Provider dahingehend zu prüfen, ob sie den beschriebenen Sicherheitsanforderungen gerecht werden. Um die Auswirkungen von Server-Ausfallzeiten zu minimieren, sollten sinnvollerweise verschiedene Dienste gleichzeitig genutzt werden. Empfehlenswert ist auch, die Zeit für eine Datenwiederherstellung aus der Wolke zu kalkulieren. Dieser Prozess könne schließlich, abhängig von der individuellen Datenmenge, mehrere Tage dauern.
Unternehmen sollten sich auch nicht von einem bestimmten Anbieter abhängig machen (Provider Lock-in) und bereits im Voraus einen Plan für einen künftigen Providerwechsel ausarbeiten. Ein Providerwechsel könnte beispielsweise nötig sein, wenn der gewählte Anbieter zu teuer geworden ist oder nicht mehr kompatibel ist mit staatlichen Regeln.
Ein wesentliches Ergebnis der Studie: Fast alle analysierten Cloud-Storage-Provider sind sich der enormen Bedeutung von Datensicherheit und Datenschutz bewusst und haben auch Schutzmaßnahmen getroffen. Allerdings konnte keine der Lösungen alle vom Fraunhofer SIT geforderten Sicherheitsfeatures erfüllen.
Die komplette Studie findet sich unter sit4.me/cloudstudy2012 zum Download.
(ID:33747020)
:quality(80)/images.vogel.de/vogelonline/bdb/1937700/1937774/original.jpg "Der neue Koalitionsvertrag sieht eine flächendeckende Digitalisierung in Deutschland vor. Die Ampelkoalititon setzt dabei auf eine Multi-Cloud-Architektur (Of The Village - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1880900/1880922/original.jpg "(iStock)")